Rogue Developer infecta amplamente o módulo NodeJS para roubar bitcoins

Um módulo NodeJS de terceiros amplamente utilizado, com quase 2 milhões de downloads por semana, foi comprometido depois que um de seus contribuidores de código aberto foi desonesto, que o infectou com um código malicioso que foi programado para roubar fundos armazenados em aplicativos de carteira Bitcoin.

A biblioteca Node.js em questão é ‘Event-Stream’, um kit de ferramentas que facilita aos desenvolvedores criar e trabalhar com fluxos, uma coleção de dados no Node.js – assim como matrizes ou cadeias de caracteres.
O código malicioso detectado no início desta semana foi adicionado ao Event-Stream versão 3.3.6, publicado em 9 de setembro pelo repositório NPM, e desde então baixado por quase 8 milhões de programadores de aplicativos.

O módulo Event-Stream para Node.js foi originalmente criado por Dominic Tarr, que manteve a biblioteca Event-Stream por um longo tempo, mas entregou o desenvolvimento e a manutenção do projeto alguns meses atrás a um programador desconhecido, chamado ‘right9ctrl’.

Aparentemente, right9ctrl ganhou a confiança de Dominic, fazendo algumas contribuições significativas para o projeto.

Depois de obter acesso à biblioteca, o novo mantenedor legítimo ‘Right9ctrl’ lançou o Event-Stream versão 3.3.6, contendo uma nova biblioteca, chamada Flatmap-Stream, como uma dependência, que foi especificamente criada para os propósitos deste ataque e inclui o Código malicioso.

Como o módulo de fluxo flatmap foi criptografado, o código malicioso permaneceu indetectável por mais de dois meses até que Ayrton Sparling (FallingSnow), um estudante de ciência da computação na Universidade Estadual da Califórnia, sinalizou o problema na terça-feira no GitHub.

Depois de analisar o código ofuscado e a carga criptografada, o gerenciador de projeto de código aberto NPM, que hospedou o fluxo de eventos, descobriu que o módulo malicioso foi projetado para direcionar pessoas usando o aplicativo de carteira bitcoin de código aberto da BitPay, Copay, que incorporou fluxo de eventos em sua Aplicativo.

O código malicioso tentou roubar moedas digitais armazenadas nas carteiras Bitcoin Dash Copay – distribuídas através do Node Package Manager (NPM) – e transferi-las para um servidor localizado em Kuala Lumpur.

Oficiais do NPM – o gerente de projetos de código aberto que hospedava a biblioteca de códigos de fluxo de eventos – removeram o backdoor da listagem do NPM na segunda-feira desta semana.

O BitPay também publicou um comunicado dizendo que as versões 5.0.2 a 5.1.0 do Copay foram afetadas pelo código malicioso e que os usuários com essas versões instaladas devem evitar a execução ou abertura do aplicativo até que instalem o Copay versão 5.2.0.

‘Os usuários devem assumir que as chaves privadas nas carteiras afetadas podem ter sido comprometidas, por isso devem transferir fundos para novas carteiras (v5.2.0) imediatamente’, diz a BitPay no comunicado.
‘Os usuários devem primeiro atualizar suas carteiras afetadas (5.0.2-5.1.0) e, em seguida, enviar todos os fundos das carteiras afetadas para uma nova carteira na versão 5.2.0, usando o recurso Enviar Max para iniciar as transações de todos os fundos.’

BitPay também diz que sua equipe continua a investigar este problema e a extensão da vulnerabilidade para saber se o código malicioso foi alguma vez explorado contra usuários do Copay.

O BitPay garante aos usuários que o aplicativo BitPay não é vulnerável ao código malicioso.

Tem algo a dizer sobre este artigo? Comente abaixo para sabermos a sua opinião, e não esqueça de visitar: https://www.deltaservers.com.br/ para acompanhar todas as novidades que preparamos para você!

Author: Lucas Alves

Deixe uma resposta

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.